事件基础架构

Windows Server 2008以及Windows Vista中的事件
Windows Server 2008新的事件架构克服了以往版本的事件记录与跟踪所存在的问题，包括有限的事件日志可扩展性（将所有日志的总大小限制为不可超过可用存储），有限的事件发布功能（例如限制可以在活动的域控制器上发布的事件的数量），以及有限的跟踪事件的安全性能。

事件架构6.0取代了事件日志服务与事件浏览器。Windows的事件架构专门处理持续进入事件日志文件的事件并执行进一步的检查。它不处理暂时性的事件，如Ipc以及通知机制。

新的事件查看方式
新的事件查看器已全部经过改写并因为运行在MMC 3.0当中而使外观发生了改变。与之前的版本相同的是它有一个树状面板及列出的事件。也可以查看为大家所熟悉的在Windows日志节点下的应用，系统和安全日志。此外加入了一些新的节点。在事件列表下出现了一个新的预览面板，其中包含聚焦事件的属性信息。可为一个或多个日志文件搜集事件，也可以只关注某个ID下的，某种严重程度或时间长度的事件。在新的界面上，管理员不再必须通过双击事件来查看事件的属性，也不必同时打开多个窗口来查看列表与事件属性对话框。

表8－新的事件查看器界面

XML结构
新的事件日志具备一个非常清晰的结构。事件通过公开的XML格式对外呈现，这样便可在创建搜集了相关事件的队列的同时，将不相关的事件排除在外。而在内部，事件以二元格式来保存，使事件具有紧密性，可靠性以及可搜索性。

由于采用了XML，XPath成为事件队列语言的基础。结构化事件的采用使自动化流程得以实现，体现在新的集成的任务安排管理器当中。简单的XPath公式（应用于事件日志命令行）可用于从单一的日志当中选择事件，这一简单但是强大的基于XML的查询语言允许从任何日志或外部事件档案中选择事件并解决问题。

事件定制
在事件查看器允许管理员在单独的本地或远程计算机上查看事件的同时，解决问题可能需要对存储在多个计算机上的多个日志的一组事件进行检查。因此Windows Server 2008以及Windows Vista具备了从多个远程的计算机搜集事件拷贝并将它们进行本地存储的功能。为找到所要搜集的事件，管理员需要创建一个事件定制。事件定制的特征之一是能够指定将要搜集的事件并且将它们本地保存在某个日志当中。一旦激活了事件定制并开始搜集事件，转发的事件就可以像其它本地保存的事件那样被管理。Windows Server 2008新的事件架构也使服务器和应用的管理员更易监控应用，搜集数据记入日志以进行分析并解决出现的问题。